28
Lotusday 2009 ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise des ID- Vault Referent: Olaf Börner BCC Unternehmensberatung D3

D3 000908 Lotusday Hagen Bcc Id Vault

Embed Size (px)

DESCRIPTION

ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise des ID-Vault Referent: Olaf BörnerBCC Unternehmensberatung

Citation preview

Page 1: D3 000908 Lotusday Hagen Bcc Id Vault

Lotusday 2009Hagen, 8. September 2009 - Arcadeon

ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise des ID-Vault

Referent: Olaf BörnerBCC Unternehmensberatung

D3

Page 2: D3 000908 Lotusday Hagen Bcc Id Vault

Agenda

Vorstellung Darstellung der TOP 3 Probleme im Bereich ID Management Architektur ID Vault Technische Features Live Demo Diskussion der Sicherheit Integrationsmöglichkeiten in Unternehmen

Page 3: D3 000908 Lotusday Hagen Bcc Id Vault

BegrüssungWer ist BCC ? • Professionelle Dienstleistungen im Lotus Domino

Umfeld• Infrastruktur Services • Messaging Services • Konsolidierungen

• Anbieter für Administrations- und Security Produkte für IBM Lotus Domino

Meine Person• Seit 1994 als Technical Consultant und PL im

Notes Bereich tätig • Schwerpunkt Enterprise Customers • CLP 3 -> CLP 8 Admin • Schwerpunkt Administration und Infrastruktur

Page 4: D3 000908 Lotusday Hagen Bcc Id Vault

Darstellung der TOP 3 Probleme im Bereich ID ManagementHandling der Lotus Notes ID steht seit Anfang

an als Synonym für das „aufwändige“ proprietäre Administrationskonzept Kernprobleme 1. ID- und Passwort-Verteilung bei Neuanlage

• Wie kommt die ID zum Anwender ? • Wie kommt das Passwort zum Anwender?

2. Password Reset: Wie kann ich zentral am Helpdesk das Kennwort zurücksetzen

3. User hat die ID verloren / ID ist kaputt

Page 5: D3 000908 Lotusday Hagen Bcc Id Vault

Bisherige Lösungsansätze Ad 1 – ID Verteilung• Manuelle Verteilung über CD etc (LN 3 & 4) • Ablage der LN ID im Adressbuch • Verteilung über Software Verteilung • Zentrale Ablage und Kopie in User Home beim Login • Download durch den Anwender via Browser Ad 2 – Password Reset • Erstellung & Verteilung neuer ID mit neuen Kennwort • Verteilung Backup ID mit alten oder neuen Kennwort • Nutzung LN Password Recovery ab R 6 • Integration in Windows (Nutzung Lotus Single Login

mit Windows ) - Ad 3 ID verloren • Analog Password Reset

Page 6: D3 000908 Lotusday Hagen Bcc Id Vault

ID Vault in Lotus Notes 8.5

Page 7: D3 000908 Lotusday Hagen Bcc Id Vault

Ziele von Lotus fuer ID VaultVault: Tresorraum, Stahlkammer, GrabgewölbeReplace expensive to manage ID file and password recovery systems and significantly reduce costly user downtimeSimplify provisioning of Lotus Notes ID credentials to new users, to new computers for existing users and replace deleted ID fileAutomatically upload ID files to vault for existing Lotus Notes users Streamlined process for resetting forgotten passwordsHelp desk options - Programmatic interfaces for self-service password applications

Page 8: D3 000908 Lotusday Hagen Bcc Id Vault

Architektur ID VaultTechnische Vorraussetzung: • Lotus Notes Client Version 8.5 • Domino Server 8.5 – • Gemischte Server Umgebung wird

unterstützt mindestens ein Anmelde Server muss jedoch Domino 8.5 sein

IDs werden auf dem Lotus Domino Server gespeichert• pro Notes ID wird ein Notes Dokument in

einer ID Vault Datenbank angelegt • Repliken der ID Vault Datenbanken auf allen

Server bzw. Anmeldeservern

Page 9: D3 000908 Lotusday Hagen Bcc Id Vault

Architektur ID Vault

Page 10: D3 000908 Lotusday Hagen Bcc Id Vault

Technische Features ID VaultUpload / Download von ID Files vom lokalen ClientAblage der ID Datei im ID Vault bei der Anlage des User (User Creation) Synchronisation / Merge von ID Files • Lokale ID am Client mit ID im ID Vault bei

Änderungen an lokaler ID Datei •Neues Passwort •Neue Secrect Encryption Keys •Neue SMIME Keys

• Zentrale Änderung durch andere Anmeldungen • Zentrale Änderung der ID Datei bei Passwort

Reset

Page 11: D3 000908 Lotusday Hagen Bcc Id Vault

Technische Features ID VaultUnterstützung des Key Rollover (Upgrade auf aktuelle Schlüssellängen) ohne „User Impact“ Notes to Internet Sync wird unterstütztErzwingen eines Passwort Wechsel nach dem Passwort ResetSpezieller Text im Login Dialog für vergessenes KennwortManagement über Policies Remote Password Reset via API (Script, Java, C) für Integration von 3rd Party Applikationen

Page 12: D3 000908 Lotusday Hagen Bcc Id Vault

Management des ID VaultManagement der ID Vault Datenbank erfolgt über AdminClient • Create, Manage, Delete ID Vault • Einrichtung der Password Reset Authority • Zuordnung der Passwort Reset „Rolle“

Empfehlung: • Sicherstellung eines sicheren „ID Vault“ ID Files • Analog zu Certifier

Trust Management • Festlegung welche ID Dateien im ID Vault gespeichert

bzw. Aufgenommen werden dürfen -> via Trust Beziehung

• Festlegung welche ID Dateien im ID Vault „upgeloadet“ werden dürfen

Page 13: D3 000908 Lotusday Hagen Bcc Id Vault

ID Management Tasks innerhalb des ID VaultLöschen von ID Files aus dem Vault

ID Dateien können als inaktiv gekennzeichnet werden Zugriff zur ID Vault Datei und Passwort

Page 14: D3 000908 Lotusday Hagen Bcc Id Vault

ID Vault am Lotus Notes 8.5. Client Zuordnung des Users zum ID Vault anhand von ID Vault Policies Notes ini Einstellungen am Client• KeyFileName_Owner=CN=Test Illgen/O=BCC_AdminTool • KEYFILENAME=C:\AdminTool\AdminTool\data\tilgen.id• Alternative: Leere Notes.ini mit üblichen 4 StartUp Zeilen

• Angabe Username, Servername für Download ID Notes.ini Protokollierungen• IDVAULT_COUNT1=0• IDVAULT_STAMP1=13.05.2009 11:49:30 • IDVaultLastServer=CN=Demo Server/O=BCC_AdminTool• IDVaultLastFlushTime=06.11.2008 20:04:27

Page 15: D3 000908 Lotusday Hagen Bcc Id Vault

Live Demo ID Vault

Page 16: D3 000908 Lotusday Hagen Bcc Id Vault

Monitoring / Protokollierung

Einbindung in das „übliche“ Domino Monitoring Domino Server Console • Sh idvault • Anzeige von technischen

Statusinformationen zum ID Vault• Anzeige von eventuellen Störungen

Page 17: D3 000908 Lotusday Hagen Bcc Id Vault

Monitoring / Protokollierung

Protokollierung in der Log.nsf und auch ddm.nsf• ID vault creation, ID Upload, ID downloads• ID extracts • Password resets

Ansicht Security Events

Page 18: D3 000908 Lotusday Hagen Bcc Id Vault

Monitoring / Protokollierung

Geplant in zukünftigen Versionen• ID vault replica creation • ID vault replica deletions • ID copy synchronization • ID vault deletion • ID vault administrator changes • ID vault trust certificate changes

Page 19: D3 000908 Lotusday Hagen Bcc Id Vault

Managing ID Vault mit Policy

ID Vault ist Teil des Security Setting DokumentesMögliche Einstellungen • Passwort Text in Login Box • Passwort Wechsel nach Reset erzwingen• Automatischen Download jederzeit erlauben • ID Download auf Zeitintervall beschränken • Eingabe einer Fehlermeldung beim ID

DownloadDemo

Page 20: D3 000908 Lotusday Hagen Bcc Id Vault

Architektur ID Vault mit BCC_AdminTool

Page 21: D3 000908 Lotusday Hagen Bcc Id Vault

ID Vault – Sicherheitskonzept

Page 22: D3 000908 Lotusday Hagen Bcc Id Vault

SicherheitskonzeptZuordnung / Nutzung des ID Vaults für den jweiligen User• Ziel: Einsammlung der IDs mit unauthorizierten ID

Vaults verhindern• Zuordnung wird über sogenannte Trust Certificate

gesteuert • Anlage Trust Certificate als Notes ID während der

Erstellung „Certifier 2.0“• Ablage der Trustcertificate als

Querzulassungsdokumente im Domino Directory • Erstellung eines Vault Operation Keys (VO)

• Zur Erstellung Querzulassung ist Nutzung auf den Certifier notwendig

• Sicherheit der Zertifier ist entscheidend !

Page 23: D3 000908 Lotusday Hagen Bcc Id Vault

SicherheitskonzeptSchutz vor Download der ID aus ID Vault• Maximale Downloads bei falschen Kennwort

Schutz vor falschen Passwort Resets • Erstellung und Zuordung der Passwort Reset Zertifikates

Speicherung der ID Datei im ID Vault • ID Datei wird als Attachment gespeichert • IDs im ID Vault haben interessanterweise kein Passwort !• ID File Dateien werden verschlüsselt im ID Vault

gespeichert • Symetrische Verschlüsselung mit 256 BIT AES – (SE

Keys)• Pro User ID ein eigener SE Key • SE Keys werden mit 2048Bit RSA Key des VO Key

verschlüsselt • VO Key wird mit private Key der Server ID verschlüsselt

Page 24: D3 000908 Lotusday Hagen Bcc Id Vault

SicherheitskonzeptSicherheit durch „temporäre ID Files“ • Bislang immer Ablage der ID auf File-System • ID Vault kann ID File im Speicher verwenden• Performance !

ID Vault Datenbank ACL • User Manager muss bei User Registration ein

Dokument erzeugen dürfen • Rolle Auditor muss kontrolliert werden

Sicherung des Netzwerk „Verkehrs“ • ID Datei wird mit 256 Bit AES Transport Encryption

Key geschützt Zusammenfassung• Server ID des Vault Server muss besonders

geschützt werden • Überwachung des ACL und Auditor Rolle

Page 25: D3 000908 Lotusday Hagen Bcc Id Vault

Durchführung Passwort Reset Sicherheit durch Zuordnung eines Querzulassung zu den entsprechenden „Ausführer“ • Org Certifier • Person • FunktionsID

Ausstellung der Querzulassung durch den ZertifierQuerzulassungdokument im Domino Directory Ausführung über AdminClient Alternativ Nutzung des API Calls

Page 26: D3 000908 Lotusday Hagen Bcc Id Vault

ID Vault Auditor Function ID Vault Auditor kann Dateien aus dem ID Vault extrahieren • Verwendung der IDs um Zugriff auf

verschlüsselte Daten zu bekommenVorgehensweise• ID Auditor verwendet Funktion „Extract ID“

im AdminClient • ID Auditor ändert das Passwort der

extrahierten Dateinotwendige Rechte • Manager Zugriff auf ID Vault • Rolle Auditor Rolle in der ACL

Page 27: D3 000908 Lotusday Hagen Bcc Id Vault

ID Vault Auditor Function

Zusammenfassung• Auditor benötigt kein Passwort des

Anwenders um auf dessen ID zuzugreifen !• Prüfung ob der Auditor Zugriff auf die ID

Datei hat, wird nur durch ACL Zugriff auf ID Vault geregelt.

• SECURE_DISABLE_AUDITOR=1 in der notes.ini um diese Funktion auszuschalten

Page 28: D3 000908 Lotusday Hagen Bcc Id Vault

Vielen Dank für Ihr Interesse!Weitere Informationen:

BCC Unternehmensberatung GmbHFrankfurter Straße 80-82

65760 EschbornTel. 06196 – 64040 – 0

Fax. 06196 – 64040 – 18http://www.bcc.biz

[email protected]